[原创]本周威胁情报概览（2021.04.10 - 2021.04.16）

2021-4-16 17:22 2519

[原创]本周威胁情报概览（2021.04.10 - 2021.04.16）

腾讯电脑管家

2021-4-16 17:22

2519

APT事件

1.伊朗纳坦兹核设施疑似遭遇网络攻击

发布时间：2021年4月11日

事件来源：

https://www.securityweek.com/iran-calls-natanz-atomic-site-blackout-nuclear-terrorism

事件摘要：

伊朗周日称，在其地下纳坦兹原子设施的一次停电是“核恐怖主义”行为，随着世界大国和德黑兰继续就其核问题破裂的谈判进行谈判，加剧了地区紧张局势。

尽管没有立即声称要承担责任，但怀疑立即落到了以色列，以色列的媒体几乎一致地报道了该国精心策划的毁灭性网络攻击造成了停电。

如果以色列负责任的话，它将进一步加剧两国之间的紧张局势，两国已经在整个中东地区发生了影子冲突。以色列总理内塔尼亚胡周日会见了美国国防部长劳埃德·奥斯丁，他发誓要竭尽全力阻止核交易。

关于该设施周日凌晨发生的事情的细节仍然很少，最初被描述为停电是由于电网为其地上车间和地下浓缩大厅供电所致。

2.Lazarus使用新后门攻击南非货运物流公司

发布时间：2021年4月9日

事件来源：

https://www.welivesecurity.com/2021/04/08/are-you-afreight-dark-watch-out-vyveva-new-lazarus-backdoor/

事件摘要：

研究人员发现了一个以前没有发现的Lazarus后门，他们将其称为Vyveva，用于攻击南非的一家货运物流公司。后门由多个组件组成，并通过Tor网络与其C＆C服务器通信。到目前为止，已经能够找到其安装程序，加载程序和主要有效负载–具有TorSocket DLL的后门，先前未知的攻击是在2020年6月发现的。

尽管Vyveva至少从2018年12月开始使用，但其初始折衷向量仍然未知。遥测数据表明有针对性的部署，暂只发现了两台受害机器，它们都是位于南非的一家货运物流公司拥有的服务器。后门具有以下功能：收集有关受害计算机及其驱动器的信息，以及其他常见的后门功能，例如运行由攻击者指定的任意代码。这表明该操作的意图很可能是间谍活动。

3.“雏莺行动”：一起针对俄罗斯的窃密行动

发布时间：2021年4月15日

事件来源：

https://mp.weixin.qq.com/s/6CEhZ9K71zcslg40rYHaqg

事件摘要：

国内安全研究人员发现一起乌克兰针对俄罗斯的窃密行动，该起攻击行动在TTP（战术、技术&程序）中以多种方式对抗杀毒软件和防火墙设备等安全设备。本次行动中攻击手法简单，载荷尚未成熟，注册域名数量较少，这次攻击活动被命名为“雏莺行动”。

该起攻击行动主要通过钓鱼邮件进行传播，将邮件伪装为俄罗斯联邦储蓄银行（Sberbank）官方通知，诱导受害者下载附件中的带有宏的Office文档，并诱使受害者执行恶意宏代码。一旦文档中的恶意宏被执行，会在多层下载解码后运行此次攻击行动的有效载荷，对除乌克兰以外国家的设备进行攻击。该样本会窃取浏览器的Cookies、登录信息和支付信息回传给攻击者Telegram服务器，造成受害者财产损失和机密信息泄露。

此次行动，攻击者将窃密功能隐藏在最终的载荷里并且在内存中加载一段ShellCode与远程服务器保持通信，窃密载荷一旦发现目标系统有沙箱系统、调试行为，以及目标系统属于乌克兰的设备，便立即自删除。通过对该起行动时间、域名（攻击者使用的域名为usamyforever.com，译为“我永远的美国”）等背景关联，推测是乌克兰针对俄罗斯的一起窃密行动。

漏洞事件

1.Apache Solr多个漏洞风险通告

发布时间：2021年4月13日

事件来源：

https://s.tencent.com/research/bsafe/1293.html

事件摘要：

2021年04月12日，Apache Solr官方发布Solr多个高危漏洞更新，漏洞等级为“高危”，腾讯安全专家建议受影响的用户及时升级到最新版本。

CVE-2021-27905: 服务器端请求伪造漏洞

攻击者可以传递特定参数，使得服务端发起请求，成功利用该漏洞可造成内网信息探测。

CVE-2021-29262: 敏感信息泄漏漏洞

攻击者可以访问特定的路径以得到身份验证和授权配置文件。

CVE-2021-29943: 数据集读写漏洞

未授权的攻击者可以利用服务端错误的解析实现数据集的读写。

2.Apache Solr SSRF（服务器端请求伪造漏洞，CVE-2021-27905）POC已公开

发布时间：2021年4月14日

事件来源：

https://s.tencent.com/research/bsafe/1293.html

事件摘要：

4月13日，腾讯安全发布Apache Solr 多个高危安全漏洞的风险通告，其中编号为CVE-2021-27905的服务器端请求伪造漏洞（SSRF）为高危严重级别，攻击者可以传递特定参数，使服务端发起请求，成功利用该漏洞可造成内网信息探测。

目前，CVE-2021-27905漏洞的POC（概念验证）代码已被公开到互联网上。这意味着漏洞利用方法已经公开，黑客利用的风险随之增加。

3.Chrome 远程代码执行0Day漏洞通告——POC已公开

发布时间：2021年4月13日

事件来源：

https://s.tencent.com/research/bsafe/1294.html

事件摘要：

国外安全研究员发布了Chrome 远程代码执行 0Day漏洞的POC（概念验证代码）详情，漏洞等级“严重”级别。攻击者利用此漏洞，构造一个恶意的web页面，用户访问该页面时，会造成远程代码执行。

Google Chrome是由Google开发的免费网页浏览器，大量采用Chrome内核的浏览器同样也会受此漏洞影响。

该0day漏洞已被验证，目前Google只针对该漏洞发布了beta测试版Chrome（90.0.4430.70）修复，Chrome正式版（ 89.0.4389.114）仍受漏洞影响。

4.Exchange Server多个远程命令执行漏洞风险通告

发布时间：2021年4月14日

事件来源：

https://s.tencent.com/research/bsafe/1295.html

事件摘要：

Microsoft发布了Exchange 安全更新的通告，本次安全更新修复了四个蠕虫级别的远程命令执行漏洞。漏洞编号为CVE-2021-28480，CVE-2021-28481，CVE-2021-28482，CVE-2021-28483，漏洞等级：严重，漏洞评分：9.8。

攻击者利用此漏洞，可绕过Exchange身份验证，且可以不需要用户交互操作，即可达到命令执行效果。因此，漏洞风险极高。攻击者利用该漏洞，可以实现内网Exchange服务器间横向扩散，用户务必高度重视该漏洞。

腾讯安全专家建议所有采用Exchange邮件服务的政企机构尽快将Exchange升级到最新版本。

5.微软发布2021年4月安全更新，腾讯安全专家建议用户尽快修补

发布时间：2021年4月14日

事件来源：

https://s.tencent.com/research/bsafe/1296.html

事件摘要：

2021年4月14日，微软发布了2021年4月例行安全更新，本次更新共发布CVE 108个，其中严重级别漏洞 19个，重要级别88个。远程代码执行漏洞 56个，安全功能绕过漏洞 5个，信息泄露漏洞 17个，特权提升19个。

本次发布包括以下软件的安全更新：

Azure、Edge（基于Chromium）、Exchange服务器、Excel、Outlook、SharePoint、Word、Windows编解码器库、DNS服务器、Hyper-V、Visual Studio、Windows系统组件、SMB服务器、Windows TCP / IP、Win32K驱动、Windows WLAN自动配置服务等。

6.Chrome又爆一枚新0Day（远程代码执行漏洞），腾讯安全已复现

发布时间：2021年4月15日

事件来源：

https://mp.weixin.qq.com/s/gVBsX62O3qaF4JxLsIGI5Q

事件摘要：

2021年4月14日，互联网上公开了一份Chrome V8引擎远程代码执行0day漏洞POC(https://github.com/avboy1337/1195777-chrome0day)，经腾讯安全专家验证，该漏洞影响Chrome最新正式版（90.0.4430.72）以及基于Chromium内核的Microsoft Edge正式版（89.0.774.77）以下版本。

攻击者可通过构造特制web页面并诱导受害者点击访问，以此触发漏洞执行远程代码。这个新增的0day漏洞与4月13日公开的0Day漏洞（https://v2.s.tencent.com/research/report/42）不是同一个漏洞。目前，该0day漏洞仍未修复。但漏洞poc（概念验证代码）已公开，很可能被攻击者利用。